[发明专利]微控制器的存储器空间的安全管理的方法

说明书

技术领域

本发明涉及一种用于在同一个微控制器系统上管理显示出高的完整性和功能安全性等级的应用以及不显示任何特定关键性的应用的方法。

因此，本发明涉及关键应用和非关键应用的在同一个微控制器系统上的同时操作的框架内的、从可编程电子设备的功能安全性的视点看和从完整性的视点看关键的系统的管理，该关键应用被称为“安全”，并且因此显示出高的被保证的完整性和功能安全性等级，该非关键应用被称为“不安全”，并且显示出未被保证的完整性和功能安全性等级。

背景技术

在本发明中涉及的系统是显示出具有几个处理器的架构的微控制器，并且根据本发明的方法处理它们在对于与从功能安全性和完整性的视点看的微控制器系统的认证的一般棘手问题相关联的、功能安全性和完整性的棘手问题敏感的环境中的使用。这样的认证例如被称为用于安全完整性等级的SIL。存在在“欧洲功能安全标准”中定义的、范围从1至4的、从最小安全至最大安全的SIL的各种值。

当前，为了考虑处理安全应用和不安全应用的共存的棘手问题，已知技术实质上涉及虚拟化和管理程序的概念，其中，安全应用被称为“安全”，即，涉及高的完整性和功能安全性等级，不安全应用被称为“不安全”，即，不涉及高的完整性和功能安全性等级。

本领域内的技术人员在他的一般知识中具有这些技术的主要特性。简而言之，可以回想起，虚拟化技术由功能安全软件机制构成，其中，显示出很高的可靠性等级的、被例如管理程序占用的管理层包括用于分离在同一个处理器上运行的独立软件平台的部件。为了如此进行，所述管理程序包括存储器管理单元，其通常被称为MMU，使得有可能在各个共享应用之间划分资源的使用，特别是存储器空间的使用。

这样的管理程序可以显示独立地管理各个处理器的能力；例如，所述管理程序可以具有重启与操作系统相关联的处理器而不重启其他处理器的能力。

通过用于实现以上所述的虚拟化技术的技术的说明，有可能参见文件EP1067461A1。而且，文件US2007118880A1和EP1331539A2描述了在包括安全问题的环境中的具有几个处理器的系统。

然而，虽然它处理管理在同一个处理器上的安全和不安全应用的共存的一般棘手问题，但是管理程序的实现方式显示特定的缺点。首先，管理程序的使用使得系统的性能变差，因为该工具消耗资源并且先天地导致系统的变慢。这也可能对于与特定应用相关联的“实时”约束的方面有害，不论该应用是安全或不安全。而且，今天，该类型的文件显示出很高的获取成本。

因此，由本发明针对的技术问题可以被认为是对于下述部件的搜索，该部件使得有可能以降低的成本，因此在规避涉及虚拟化和管理程序的已知的但昂贵的技术的同时来管理在同一个微控制器系统上的安全和不安全应用的共存。而且，本发明对于该系统的性能具有有限的影响。

发明内容

为了这个目的，本发明的主题是一种电子微控制器系统的管理的方法，所述微控制器系统包括：

-两个处理器，第一处理器用于不安全应用的执行，显示出未被保证的功能安全性和完整性等级，第二处理器专用于安全应用的执行，实现代码和数据，并且涉及被保证的功能安全性和完整性等级，所述安全应用能够实现安全功能；

-访问共享存储器空间的部件。

根据本发明，所述第一处理器包括存储器管理单元，其被以它实现写入访问检查的方式被配置，用于管理当所述安全应用实现其安全功能时不可修改的、向所述共享存储器空间的写入访问。

有益地，通过下面的步骤的实现来使得所述写入访问检查不可修改：

-在被分配到所述安全应用的存储器区域和被分配到所述不安全应用的存储器区域之间分配所述共享存储器空间；

-预期地址的转换的缓冲器的实现；

-向所述预期地址的转换的缓冲器内装载访问所述共享存储器的一组规则，包括禁止所述不安全应用在向所述安全应用分配的存储器区域的保留区域中写入的规则；

-向所述共享存储器空间内复制所述预期地址的转换的缓冲器的图像；

-向所述预期地址的转换的缓冲器的所述图像内装载用于禁止所述图像在所述预期转换的缓冲器中的写入的规则；

-通过所述存储器管理单元来实现在所述预期地址的转换的缓冲器的所述图像中包含的访问规则。

表达“预期地址的转换的缓冲器”或更简单的“地址转换缓冲器”对应于代表“转换后备缓冲器”的已知的通常缩写TLB，它是可以被存储器管理单元特别用于将虚拟地址转换为物理地址的微处理器的存储器。